{"id":298111,"date":"2024-08-07T13:08:28","date_gmt":"2024-08-07T11:08:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298111"},"modified":"2024-08-07T22:36:58","modified_gmt":"2024-08-07T20:36:58","slug":"crowdstrike-nachlese-neuer-bericht-aktueller-status-klagen-und-deren-konter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/07\/crowdstrike-nachlese-neuer-bericht-aktueller-status-klagen-und-deren-konter\/","title":{"rendered":"CrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem die CrowdStrike Falcon-Software vor einiger Zeit 8,5 Millionen Windows-Rechner lahm legte, hat der Anbieter nun eine zweite Stellungnahme vorgelegt. 99 % der Sensoren seien inzwischen wieder in Betrieb, hei\u00dft es darin. Ansonsten drohen ja einige Betroffene mit Schadensersatzklagen. Der Ansatz der Fluglinie Delta Air Lines hat es bis in die Medien geschafft. Nun gibt es ersten Konter: Microsoft hatte Delta Air Lines kostenlose Unterst\u00fctzung angeboten, die aber abgelehnt wurde. Ach ja, auch Amazon ist von CrowdStrike betroffen. Hier eine Nachlese der betreffenden Information.<\/p>\n

<\/p>\n

Der CrowdStrike-Vorfall im R\u00fcckblick<\/h2>\n

\"\"Zum 19. Juli 2024 kam es auf Grund eines fehlerhaften Signatur-Updates bei der CrowdStrike Falcon-Sicherheitssoftware zum Ausfall von 8,5 Millionen Windows-Systemen. Die verharrten meist in einer BlueScreen-Schleife und lie\u00dfen sich u.U. nicht mehr booten. Betroffen waren Unternehmensrechner, da die oben genannte CrowdStrike Falcon-Software bei Privatleuten nicht im Einsatz ist. In Folge standen Flugh\u00e4fen still, Z\u00fcge, Rundfunksender, Tankstellen, L\u00e4den und Banken waren betroffen.<\/p>\n

F\u00fcr Administratoren der betroffenen Unternehmen hie\u00df es: Versucht, die Windows-Rechner bis zu 15 Mal zu booten und zu hoffen, dass das fehlerhafte Update per Internet durch eine funktionsf\u00e4hige Version ersetzt wird. Oder die Rechner vor Ort manuell vom fehlerhaften Update befreien und wieder arbeitsf\u00e4hig machen. Ich hatte hier im Blog zeitnah \u2013 auch \u00fcber die Probleme mit Bitlocker Wiederherstellungsschl\u00fcssel-Abfragen berichtet (siehe Artikellinks am Beitragsende).<\/p>\n

Technische Analyse des Vorfalls (Channel File 291)<\/h2>\n

CrowdStrike hatte bereits einige Tage nach dem Vorfall eine erste Analyse der Ursache f\u00fcr die BlueScreens ver\u00f6ffentlicht. Das hatte ich im Blog-Beitrag CrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a> mit aufgegriffen. Auch Microsoft hatte eine Analyse ver\u00f6ffentlicht (siehe Microsofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a>).<\/p>\n

\"Crowdstrike<\/a><\/p>\n

Nun hat CrowdStrike einen vollst\u00e4ndigen Bericht mit dem Titel External Technical Root Cause Analysis \u2014 Channel File 291<\/a> als 12 seitige PDF-Datei vorgelegt. Ich bin auf Facebook sowie \u00fcber obigen Tweet<\/a> auf diesen Sachverhalt hingewiesen worden. Nachfolgendes Schreiben an Kunden und Partner ging mir von einem Leser zu (danke daf\u00fcr).<\/p>\n

\"CrowdStrike-Schreiben<\/p>\n

Der PDF-Bericht<\/a> vertieft laut CrowdStrike die Informationen, die bereits im vorl\u00e4ufigen Post Incident Review getroffen wurden. Es wird nochmals genauer erkl\u00e4rt, was in der Logik des Interpreters f\u00fcr die Sensoren fehlerhaft war und was im Entwicklungsprozess nicht gestimmt habe.<\/p>\n

Das Beef findet sich auf dieser CrowdStrike-Seite<\/a> in einem Beitrag vom 6.8.2024, versteckt in einem Textwust. Ich ziehe die relevanten S\u00e4tze mal in \u00fcbersetzter Form heraus.<\/p>\n

Am 19. Juli 2024 wurde ein Rapid Response Content Update an bestimmte Windows-Hosts ausgeliefert, mit dem die im Februar 2024 erstmals ver\u00f6ffentlichte neue Funktion weiterentwickelt wurde. Der Sensor erwartete 20 Eingabefelder, w\u00e4hrend das Update 21 Eingabefelder lieferte. In diesem Fall f\u00fchrte die Diskrepanz zu einem unzul\u00e4ssigen Speicherzugriff, der einen Systemabsturz verursachte.<\/p><\/blockquote>\n

Laut Bericht will der Anbieter Verbesserungen vornehmen, um solche Fehler zuk\u00fcnftig zu vermeiden.<\/p>\n

Neu ist f\u00fcr mich auch die Information, dass mit Stand vom 29. Juli 2024, im Vergleich zur Vorwoche bzw. vor dem Vorfall wieder ~99 % der Windows-Sensoren online sind. Der Anbieter gibt an, dass man normalerweise eine Abweichung von ca. 1 % von Woche zu Woche bei den Sensorverbindungen sehe. Bei Interesse k\u00f6nnen interessierte Leser die Details im verlinkten Dokument nachlesen. Generell stellt sich die Frage, was sonst noch an Problemen schlummert, die den Anwendern demn\u00e4chst auf die F\u00fc\u00dfe fallen. Nachfolgender Tweet<\/a> greift den Gedanken auf und thematisiert zwei gro\u00dfe Ausf\u00e4lle.<\/p>\n

\"IT-Ausf\u00e4lle\"<\/a><\/p>\n

Versicherungen, Schadensersatz und Konter<\/h2>\n

Kommen wir noch zum Thema Sch\u00e4den, Ersatz durch Versicherungen sowie den angedeuteten Schadensersatzklagen gegen CrowdStrike. Speziell der Fall Delta Air Lines ging ja durch die Presse, weil die einen enormen Schaden reklamieren.<\/p>\n

Sch\u00e4den in Milliarden-H\u00f6he, und unversichert<\/h3>\n

Im Blog-Beitrag CrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a> hatte ich ja eine erste Schadensbilanz des Vorfalls gewagt. Der weltweite, durch CrowdStrike verursachte Ausfall von Windows-Systemen kostet bereits dies US Fortune 500-Unternehmen 5,4 Mrd. US-Dollar.<\/p>\n

Der Versicherer Parametrix schreibt, dass Bank- und Gesundheitsunternehmen sowie gro\u00dfe Fluggesellschaften voraussichtlich die gr\u00f6\u00dften Verluste erleiden werden. Diesem neowin.net-Beitrag<\/a> zufolge wird der weltweite Schaden durch den CrowdStrike-Vorfall auf 15 Milliarden US-Dollar gesch\u00e4tzt.<\/p>\n

Bloomberg gibt in diesem Artikel<\/a> (Paywall) an, dass Versicherungen zwischen 300 Millionen und 1,5 Milliarden US-Dollar an Betroffene Zahlen m\u00fcssen. Das hei\u00dft mit anderen Worten: Ein gro\u00dfer Teil der durch die Windows-Ausf\u00e4lle verursachten Sch\u00e4den sind unversichert. Ein Cyberangriff war es ja nicht, und ob eine Versicherung z.B. im Rahmen der Betriebsunterbrechung zahlt, muss man dem Kleingedruckten entnehmen.<\/p>\n

Die Sache mit dem Schadensersatz<\/h3>\n

Im Blog-Beitrag CrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a> hatte ich erste \u00dcberlegungen rund um das Thema Schadensersatz durch CrowdStrike thematisiert. Die CrowdStrike AGB d\u00fcrfte viele Schadensersatzforderungen ins Leere laufen lassen, da Anwendungen, bei denen gr\u00f6\u00dfere Sch\u00e4den durch einen Ausfall entstehen k\u00f6nnen, explizit ausgeschlossen werden.<\/p>\n

Das Uniklinikum Schleswig-Holstein will trotzdem Schadensersatz einfordern, wie man hier lesen<\/a> kann. Und dann gibt es noch die Fluglinie Delta, die eigenen Angaben zufolge 500 Millionen US-Dollar Schaden erlitten hat. Delta will diesen Schaden von CrowdStrike und Microsoft ersetzt haben – Spiegel Online berichtet dies<\/a> unter Verweis auf US-Medien.<\/p>\n

Konter auf Delta Air Lines Schadensersatzforderungen<\/h3>\n

Die Schadensersatzforderungen von Delta Air Lines an CrowdStrike und Microsoft haben bereits Reaktionen und ein Konter durch die beiden letztgenannten Unternehmen hervorgerufen. CrowdStrike wird von The Register in diesem Artikel<\/a> mit der Aussage zitiert,\u00a0 dass man sehr \"sehr entt\u00e4uscht\" \u00fcber die Klageandrohung sei. Man weist die Behauptungen von Delta und seinen Anw\u00e4lten zur\u00fcck, dass der Anbieter bei den Ereignissen, die zu dem weltweiten IT-Ausfall gef\u00fchrt haben, grob fahrl\u00e4ssig gehandelt habe. Aussage von CrowdStrike laut The Register:<\/p>\n

Sollte Delta diesen Weg weiterverfolgen, wird Delta der \u00d6ffentlichkeit, seinen Aktion\u00e4ren und letztlich einer Jury erkl\u00e4ren m\u00fcssen, warum CrowdStrike die Verantwortung f\u00fcr seine Handlungen \u00fcbernommen hat – schnell, transparent und konstruktiv – und Delta nicht.<\/p><\/blockquote>\n

CrowdStrike spielt auch die Karte, warum die Fluggesellschaft so viel l\u00e4nger als die Konkurrenten brauchte, um sich von demselben Problem zu erholen (Neowin. Und es wird die Frage aufgeworfen, warum Delta es die von CrowdStrike angebotene kostenlose Vor-Ort-Hilfe ablehnte. The Verge hat es hier<\/a> aufgegriffen. Das Schreiben von CrowdStrike an Delta l\u00e4sst sich auf X in diesem Tweet<\/a> einsehen – wurde hier im Blog schon mal als unversch\u00e4mt bezeichnet, da die als Litigation Hold geforderten Unterlagen,die halbe IT-Dokumentation und der zugeh\u00f6rige Mailverkehr etc. noch dazu fordern.<\/p>\n

Auch Microsoft schl\u00e4gt in die gleiche Kerbe, wie man auf CNBC in diesem Artikel<\/a> nachlesen kann. Dort wird Microsoft mit der Aussage \"Unsere vorl\u00e4ufige \u00dcberpr\u00fcfung deutet darauf hin, dass Delta im Gegensatz zu seinen Konkurrenten seine IT-Infrastruktur offenbar, weder zum Nutzen seiner Kunden noch f\u00fcr seine Piloten und Flugbegleiter, modernisiert hat\" gekontert. Delta argumentiert, dass man langfristige Investitionen t\u00e4tige und Milliarden US-Dollar seit 2016 in die IT-Infrastruktur gesteckt habe.<\/p>\n

Anwalt Cheffo schrieb, dass Microsoft angeboten hatte, Delta kostenlos zu helfen. Jeden Tag vom 19. bis zum 23. Juli boten Microsoft-Mitarbeiter an, dass sie bei der Beseitigung des Schadens helfen k\u00f6nnten. Aber Delta habe das Angebot jedes Mal abgewiesen, wird aus dem Anwaltsschreiben zitiert. Microsoft-CEO Satya Nadella habe eine E-Mail an den Delta CEO Bastian geschickt, \"der nie geantwortet habe\" hei\u00dft es im Schreiben des Anwalts. Auch CrowdStrike argumentiert, dass deren CEO, George Kurtz, sich an sein Pendant bei Delta gewandt, aber keine Antwort erhalten habe.<\/p>\n

Von Cheffo wird ein Brief von Microsoft an einen Delta-Mitarbeiter vom 22. Juli zitiert, wo Hilfe angeboten wurde. Die Antwort des\u00a0 Delta-Mitarbeiters\u00a0 war: \"Alles gut. Cool, wir werden es euch wissen lassen und danke f\u00fcr das Angebot. CNBC erw\u00e4hnt, dass Delta 2021 einen Vertrag mit IBM abgeschlossen habe, um eine Hybrid-Cloud-Architektur, die auf der OpenShift-Software von Red Hat l\u00e4uft, zu implementieren. Im Jahr 2022 gab Amazon bekannt, dass Delta die Amazon Web Services-Einheit des Digital-Commerce-Unternehmens als bevorzugten Cloud-Anbieter ausgew\u00e4hlt habe.<\/p>\n

Das Desaster bei Delta – einige Details<\/h3>\n

Der Delta CEO gibt an, dass das Unternehmen 40.000 Server manuell zur\u00fccksetzen musste. Microsofts Anwalt Cheffo schrieb an Delta: \"Es wird schnell klar, dass Delta wahrscheinlich die Hilfe von Microsoft abgelehnt hat, weil das IT-System, das am meisten Probleme bei der Wiederherstellung hatte – das System zur Erfassung und Einsatzplanung der Besatzungen – von anderen Technologieanbietern wie IBM gewartet wurde, weil es auf den Systemen dieser Anbieter und nicht auf Microsoft Windows oder Azure l\u00e4uft.\"<\/p>\n

Der Delta CEO Bastian sagte CNBC \"Wenn Sie Zugang, vorrangigen Zugang, zum Delta-\u00d6kosystem in Bezug auf Technologie haben werden, m\u00fcssen Sie diese Dinge testen. Sie k\u00f6nnen nicht in einen missionskritischen 24\/7-Betrieb kommen und uns sagen, dass wir einen Fehler haben. Es funktioniert nicht.\"<\/p>\n

Unabh\u00e4ngig von der letzten Aussage, die Replik Microsofts ist auch als billige Retourkutsche der Art \"h\u00e4ttet ihr Windows 11 und Microsoft Azure genommen, w\u00e4ret ihr schneller lauff\u00e4hig gewesen\". Nur mal so von meiner Seite angemerkt: Meines Wissens waren nur Windows-Systeme betroffen – wenn Delta auf Red Hat gesetzt hat, waren die Linux-Server nicht betroffen. Es m\u00fcssen also 40.000 Windows-Server gewesen sein, die durch das CrowdStrike Falcon-Update gebrickt wurden. Deren Fehlerbehebung dauerte f\u00fcnf Tage.<\/p>\n

Es gibt einen Blog-Beitrag<\/a> von Bastian, in dem ausgef\u00fchrt wird, dass Delta eine betr\u00e4chtliche Anzahl von Anwendungen nutzt, die auf Windows angewiesen seien. Dazu geh\u00f6re auch eines der Tools zur Nachverfolgung des Standorts und der Dienstzeigen von Besatzungen. Dieses System war vom CrowdStrike-Vorfall betroffen und konnte die beispiellose Anzahl von \u00c4nderungen, die durch die Abschaltung des [Windows] Systems ausgel\u00f6st wurden, nicht effektiv verarbeiten, hei\u00dft es dort. Die Delta-Teams haben rund um die Uhr daran gearbeitet, das System wiederherzustellen und die volle Funktionalit\u00e4t zu gew\u00e4hrleisten.<\/p>\n

Man kann die obigen Vorg\u00e4nge auch auf \"Hol Popcorn raus und beobachte den Schlagaustausch\" reduzieren. Wir werden vielleicht noch einige Berichte hier im Blog diesbez\u00fcglich sehen.<\/p>\n

Amazon-Bestellungen verz\u00f6gert<\/h2>\n

Als kleine Erg\u00e4nzung: Ein Leser hat mir nachfolgenden Screenshot zukommen lassen, der zeigt, dass Amazon in Deutschland auch betroffen ist.<\/p>\n

\"Amazon<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Ausfall von Microsoft 365 und weltweite St\u00f6rungen \u2013 wegen CrowdStrike-Update, was zum BSOD f\u00fchrt?<\/a>
\nWieso weltweit zahlreiche IT-Systeme durch zwei Fehler am 19. Juli 2024 ausfielen<\/a>
\nCrowdStrike-Analyse: Wieso eine leere Datei zum BlueSceen f\u00fchrte<\/a>
\nNachlese des CrowdStrike-Vorfalls, der bisher gr\u00f6\u00dften Computerpanne aller Zeiten<\/a>
\nCrowdStrike: Untersuchungsbericht; Schadenssumme und Entsch\u00e4digungen; Schuldzuweisungen<\/a>
\nMicrosofts Analyse des CrowdStrike-Vorfalls und Empfehlungen<\/a>
\nKommunal IT-Dienstleister S\u00fcdwestfalen-IT nach Cybervorfall und CrowdStrike Bremsspuren endlich wieder arbeitsf\u00e4hig<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem die CrowdStrike Falcon-Software vor einiger Zeit 8,5 Millionen Windows-Rechner lahm legte, hat der Anbieter nun eine zweite Stellungnahme vorgelegt. 99 % der Sensoren seien inzwischen wieder in Betrieb, hei\u00dft es darin. Ansonsten drohen ja einige Betroffene mit Schadensersatzklagen. Der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[8491,4328,3288],"class_list":["post-298111","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-crowdstrike","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298111","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=298111"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/298111\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=298111"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=298111"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=298111"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}